Drawing inspiration from bureaucracy and information security literature, we develop the theory of security bureaucracy—an evolutionary framework that describes how organizations arrive at their information-securing approaches. Within this framework, we describe three general bureaucratic archetypes (i.e., Security Prototype, Security Structure, and Security Superstructure) that emerge from the interplay between control and expertise. We also expound on the phenomenon of security bureaucracy and delineate how organizations can transition from coercive “iron cages” to enabling “iron shields” in information securing. We also use our security establish-enforce-enculturate (3E) evolutionary framework to inform a proposed variance model of security bureaucracy. Our efforts offer significant insights and implications for organizational information security research and practice.

中文翻译：

---

信息保护中的官僚机构：从铁笼过渡到铁盾


从官僚主义和信息安全文献中汲取灵感，我们发展了安全官僚主义理论，这是一个描述组织如何实现其信息保护方法的进化框架。在这个框架内，我们描述了三种一般的官僚原型（即安全原型、安全结构和安全上层建筑），它们来自控制和专业知识之间的相互作用。我们还阐述了安全官僚主义现象，并描述了组织如何从强制性的“铁笼”过渡到在信息保护中启用“铁盾”。我们还使用我们的安全建立-执行-文化 （3E） 进化框架来为提议的安全官僚机构的方差模型提供信息。我们的工作为组织信息安全研究和实践提供了重要的见解和影响。